Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Организации имеют ресурсы, которым требуется строгая безопасность, например учетная запись пользователя генерального директора. В настоящее время администратор службы технической поддержки может получить доступ к учетной записи генерального директора, сбросив пароль, а администратор групп уровня клиента может добавить пользователей в группы безопасности с доступом к финансовым данным на SharePoint.
Ограниченные административные единицы управления позволяют защитить определенные объекты в вашей среде от изменения кем-либо, кроме определенного вами набора людей. Это позволяет соответствовать требованиям безопасности или соответствия требованиям, не удаляя назначения ролей на уровне клиента от администраторов.
Зачем использовать административные единицы управления с ограниченным доступом?
Вот некоторые причины, по которым можно использовать ограниченные административные единицы для управления доступом в вашем клиенте.
Защита учетных записей руководителей и их устройств
Вы хотите защитить учетные записи руководителей уровня C и их устройства от администраторов службы технической поддержки, которые в противном случае смогут сбросить пароли или получить доступ к ключам восстановления BitLocker. Вы можете добавить учетные записи пользователей уровня C в административное подразделение с ограниченным доступом и включить определенный доверенный набор администраторов, которые могут сбрасывать пароли и получать доступ к ключам восстановления BitLocker при необходимости.
Реализуйте контроль соблюдения только для локальных администраторов
Вы хотите реализовать контроль соответствия требованиям, чтобы гарантировать, что определенные ресурсы могут управляться только администраторами в определенной стране или регионе. Вы можете добавить эти ресурсы в административную единицу с ограничениями управления и назначить локальных администраторов для управления данными объектами. Даже глобальным администраторам не разрешается изменять объекты, если они только явно не назначат себя на роль, охватывающую ограниченную административную единицу управления (что является событием, подлежащим аудиту).
Ограничение управления конфиденциальными группами безопасности определенным администраторам
Группы безопасности используются для управления доступом к конфиденциальным приложениям в вашей организации, и вы не хотите разрешить администраторам, имеющим полномочия на уровне клиента, которые могут изменять группы, контролировать, кто может получать доступ к приложениям. Эти группы безопасности можно добавить в административную единицу управления с ограниченным доступом, а затем убедиться, что им могут управлять только определенные администраторы.
Пример сценария
На следующей схеме показан пример административной единицы управления с ограниченным доступом (показан в пурпурном поле) с объектами, которые могут быть изменены только поддержкой руководителей. Администраторы уровня арендатора и локальные администраторы не могут изменять объекты в исполнительном административном подразделении.
Примечание.
Размещение объектов в административной единице ограниченного управления сильно ограничивает, кто может вносить изменения в объекты. Это ограничение может привести к разрыву существующих рабочих процессов.
Какие объекты могут быть членами?
Ниже приведены объекты, которые могут быть членами ограниченных административных единиц управления.
| тип объекта Microsoft Entra | Административная единица | Административное подразделение ограниченного управления |
|---|---|---|
| Пользователи | Да | Да |
| Устройства | Да | Да |
| Группы (безопасность) | Да | Да |
| Группы (Microsoft 365) | Да | Нет |
| Группы безопасности с поддержкой электронной почты | Да | Нет |
| Группы (распределение) | Да | Нет |
Какие типы операций блокируются?
Для администраторов, которые не назначены в рамках области ограниченной административной единицы управления, операции, непосредственно изменяющие свойства объектов Microsoft Entra в этих единицах, блокируются, в то время как операции с связанными объектами в службах Microsoft 365 не затрагиваются.
| Тип операции | Заблокировано | Допустимо |
|---|---|---|
| Чтение стандартных свойств, таких как основное имя пользователя, фотография пользователя | ✅ | |
| Измените свойства Microsoft Entra для пользователя, группы или устройства | ❌ | |
| Удаление пользователя, группы или устройства | ❌ | |
| Обновление пароля для пользователя | ❌ | |
| Измените владельцев или участников группы в административной единице с ограниченными полномочиями управления. | ❌ | |
| Добавление пользователей, групп или устройств в административное подразделение с ограниченным доступом к группам в Microsoft Entra ID | ✅ | |
| Изменение параметров электронной почты и почтовых ящиков в Exchange для пользователя в административной единице с ограниченным доступом | ✅ | |
| Применяйте политики к устройству в административной единице с ограниченным управлением с использованием Intune. | ✅ | |
| Добавление или удаление группы в качестве владельца сайта в SharePoint | ✅ | |
| Назначение лицензий и обновление расположения пользователей в административной единице управления с ограниченным доступом | ✅ |
Кто может изменять объекты?
Только администраторы с явным назначением на уровне ограниченной административной единицы управления могут изменять свойства объектов Microsoft Entra в этой административной единице.
| Должность | Область действия | Заблокировано | Допустимо |
|---|---|---|---|
| Глобальный администратор | Арендатор | ❌ | |
| Администратор привилегированных ролей | Арендатор | ❌ | |
| Администратор групп, администратор пользователей или другие роли | Ресурс | ❌ | |
| Владельцы групп или устройств, добавленных в административные единицы управления с ограниченным доступом | ❌ | ||
| Встроенная или настраиваемая роль | Арендатор | ❌ | |
| Роли, которые можно назначать с областью административного подразделения | Административное подразделение ограниченного управления | ✅ | |
| Роли, которые можно назначать с областью административного подразделения | Другая ограниченная административная единица управления, в которой объект является членом | ✅ | |
| Роли, которые можно назначать с областью административного подразделения | Другая обычная административная единица, в которой объект является членом | ❌ |
Если администратор с областью клиента пытается изменить объект в административной единице ограниченного управления, они будут видеть сообщения, аналогичные следующим:
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
This group is a member of restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
Для пользователей и устройств это сообщение отображается на странице обзора . Для групп на странице "Участники" появится это сообщение.
Кто может управлять административными подразделениями с ограниченным доступом?
Следующие роли в области клиента не могут изменять объекты в ограниченных административных единицах управления, но они могут самостоятельно управлять административными единицами управления с ограниченным доступом.
| Должность | Область действия | Изменение объектов в административных единицах управления с ограниченным доступом | Управление административными единицами управления с ограниченным доступом |
|---|---|---|---|
| Глобальный администратор | Арендатор | Нет | Да |
| Администратор привилегированных ролей | Арендатор | Нет | Да |
Это управление включает следующие задачи:
- Создание или удаление административных единиц управления с ограниченным доступом
- Добавление или удаление участников из ограниченных административных единиц управления
- Назначить роли или удалить назначения ролей с ограниченной областью административного управления
- Назначать себе роли с ограниченным охватом административных единиц управления
Если администратор с ограниченной областью управления изменяет задания или покидает организацию, чтобы восстановить доступ, глобальный администратор или администратор привилегированных ролей может назначить другого администратора или себя ограниченному административному подразделению управления.
Журналы аудита
Чтобы помочь вам отслеживать, когда изменения вносятся в ограниченные административные единицы управления, эти действия записываются в журналы аудита Microsoft Entra.
| Активность | Категория | Сведения |
|---|---|---|
| Add administrative unit (Добавление административной единицы) | Административное подразделение |
IsMemberManagementRestricted = верно |
| Добавление участника в административную единицу управления с ограниченным доступом | Административное подразделение | |
| Удаление члена из ограниченной административной единицы управления | Административное подразделение | |
| Добавление участника в роль, ограниченную административной единицей управления | Управление ролями | |
| Удаление участника из роли с областью действия, ограниченной административной единицей с ограниченным управлением | Управление ролями |
Ограничения
Ниже приведены некоторые ограничения и ограничения для административных единиц управления с ограниченным доступом.
- Параметр ограниченного управления должен применяться во время создания административной единицы и не может быть изменен после создания административной единицы.
- Группы и пользователи в административной единице ограниченного управления не могут управляться с помощью функций Microsoft Entra ID Governance, таких как Privileged Identity Management, Entitlement management, Lifecycle workflows и Access reviews.
- Если группа настроена для общедоступного членства (задав для свойства
Public), пользователи могут присоединиться к группе с помощью самостоятельного членства в группах. Эта конфигурация не является параметром по умолчанию, и не рекомендуется настраивать группы в ограниченных административных единицах управления, чтобы разрешить общедоступное членство. Это временное ограничение и будет удалено. - Группы с назначаемыми ролями при добавлении в административную единицу с ограниченным доступом к управлению не могут иметь изменённым свой состав. Владельцы групп не могут управлять группами в административных единицах с ограниченным управлением, а членство могут изменять только глобальные администраторы и администраторы привилегированных ролей (ни один из которых не может быть назначен в рамках административной единицы).
- Некоторые действия могут быть недоступны, если объект находится в ограниченной административной единице управления, если требуемая роль не является одной из ролей, которые могут быть назначены в области администрирования. Например, глобальный администратор в ограниченной административной единице управления не может иметь свой пароль сброшен другим администратором в системе, поскольку нет такой роли администратора, которую можно было бы назначить на уровне административной единицы, которая бы позволила сброс пароля глобального администратора. В таких случаях сначала глобальный администратор должен быть удален из административной единицы ограниченного управления, а после этого их пароль должен быть сброшен другим глобальным администратором или администратором привилегированных ролей.
- При удалении ограниченной административной единицы управления может потребоваться до 30 минут, чтобы удалить все защиты от бывших участников.
- Не более 100 административных единиц ограниченного управления в арендаторе.
Программируемость
Приложения по умолчанию не могут изменять объекты в ограниченных административных единицах управления. Чтобы предоставить приложению доступ к управлению объектами в ограниченной административной единице, необходимо назначить приложению роль Microsoft Entra в области ограниченной административной единицы управления. Если вы назначите приложению разрешения Microsoft Graph, эти разрешения не будут применяться, поскольку они ограничены.
Требования к лицензиям
Для административных единиц управления с ограниченным доступом требуется лицензия Microsoft Entra ID P1 для каждого администратора административной единицы и Microsoft Entra ID бесплатные лицензии для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Следующие шаги
- Создание, обновление или удаление административных единиц
- Назначение ролей Microsoft Entra в пределах административной единицы
- административные единицы Microsoft Entra: устранение неполадок и часто задаваемые вопросы